El troyano bancario Emotet que fue identificado por primera vez en 2014 fue diseñado originalmente como un simple malware bancario y una nueva versión del mismo está siendo difundida por trickbot (botnet).
La primera versión (2014) de Emotet fue diseñada para robar los datos de las cuentas bancarias y credenciales de la víctima interceptando el tráfico de Internet saliente del navegador. La segunda versión (2018) incluía un sistema de transferencia de dinero, un módulo de malspam y un módulo bancario con objetivo a bancos alemanes y austriacos; adicionalmente ha sido capaz de analizar los contactos y el contenido de los buzones de los sistemas infectados utilizando la técnica llamada “Outlook Harvesting” con el fin de lanzar más ataques sobre esta base.
El vector de ataque del malware Emotet es el spam y afecta a instituciones públicas y privadas, robando registros bancarios, datos financieros e incluso carteras de bitcoin.
En 2020 el INCIBE ya alertaba que se estaba constatando el aumento de su actividad. Las agencias de ciberseguridad en Canadá, Francia, Japón, Nueva Zelanda, Italia y los Países Bajos también han informado sobre picos en la actividad relacionada con Emotet. Microsoft también ha advertido de ello a través de Twitter.
En enero de 2021 una operación liderada por la Europol y la Interpol desmantelaba la botnet Emotet, de los malware más prevalentes desde 2014 que provocó daños económicos por aproximadamente 2.500 millones de dólares. En total unos 700 servidores de comando y control (C&C) utilizados por los atacantes para comprometer equipos y lanzar nuevas campañas maliciosas fueron desconectados como parte de la operación y rápidamente se observó una caída abrupta en su actividad.
A pesar de los esfuerzos, el pasado 14 de noviembre se detectó una nueva campaña de malspam que distribuía la botnet trickbot y este descargaba en una segunda instancia una DLL maliciosa correspondiente a la nueva versión de Emotet.
En esta última versión (2021) el cifrado para ocultar los datos difiere de la versión anterior y la muestra encontrada emplea un certificado de autoridad auto firmado para poder usar HTTPS y proteger el tráfico de red, incluyendo también la ofuscación el código.
Para hacer frente a esta amenaza se recomienda realizar campañas de concientización y aplicar las siguientes buenas prácticas:
- No abrir correos de usuarios desconocidos o que no se haya solicitado.
- No responder en ningún caso correos de usuarios desconocidos.
- Revisar los enlaces antes hacer clic, aunque sean de contactos conocidos.
- Desconfiar de los enlaces acortados.
- Desconfiar de los ficheros adjuntos, aunque sean de contactos conocidos.
- Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
- Asegurarse que las cuentas de usuario de los empleados utilizan contraseñas robustas y no posean permisos de administrador.
Además, es importante realizar periódicamente copias de seguridad. Guardándolas en ubicaciones diferentes. Verificar que se han realizado correctamente y asegurarse que toda la información pueda ser recuperada. De esta forma, en el caso de un incidente, se podría recuperar la actividad de la organización afectada de una forma ágil.
Referencias:
- https://www.welivesecurity.com/la-es/2021/11/16/emotet-activo-nuevamente-distribuye-correos-adjuntos-maliciosos/
- https://twitter.com/MsftSecIntel/status/1308207245843341312
- https://www.welivesecurity.com/la-es/2021/11/16/emotet-activo-nuevamente-distribuye-correos-adjuntos-maliciosos/
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/detectada-campana-malware-emotet